1、网上银行安全建设网上银行安全建设交流交流 身份认证身份认证 登录密码登录密码 数字证书数字证书 IC卡及卡及USB Token 动态密码动态密码 电子口令卡、刮刮卡、手机短信动态密码电子口令卡、刮刮卡、手机短信动态密码 安全协议安全协议 TLS/SSL 软实现软实现/硬实现硬实现 SPKM国内网银的安全现状国内网银的安全现状 防火墙防火墙 品牌较杂品牌较杂 防病毒及入侵检测防病毒及入侵检测 服务端防护为主服务端防护为主 实际效果一般实际效果一般国内网银的安全现状国内网银的安全现状 安全事故多来自安全事故多来自 内部作案内部作案 应用缺陷应用缺陷 木马木马 钓鱼网站钓鱼网站 人为因素人为因素国内
2、网银的安全现状国内网银的安全现状 网银的关键网银的关键 网银是什么?成功网银的关键及难度?安全?应用安全 功能?开发框架 技术?应用快速开发 营销?营销机制重要性重要性 网上银行带来的便利,减少了提供服网上银行带来的便利,减少了提供服务的地域、时间限制,副产品是增加了务的地域、时间限制,副产品是增加了暴露面及风险。暴露面及风险。媒体渲染,使一般用户谈虎色变,不敢媒体渲染,使一般用户谈虎色变,不敢使用网银。使用网银。目的目的 保护客户及银行自身的利益,规避、保护客户及银行自身的利益,规避、降低金融风险。降低金融风险。安全三要素安全三要素 保密性(保密性(confidentiality):敏感信息
3、不外):敏感信息不外泄。泄。完整性(完整性(integrity):信息不被篡改。):信息不被篡改。实用性(实用性(availability):系统持续提供服务):系统持续提供服务的能力。的能力。PKI数字证书的作用数字证书的作用 身份确认(身份确认(authentication)的重要技术;)的重要技术;授权(授权(authorization)的基础;)的基础;并不能解决所有的安全问题。并不能解决所有的安全问题。手段手段 在各个层面采用管理、技术手段在各个层面采用管理、技术手段 网银安全网银安全网络安全网络安全主机安全主机安全入侵检测入侵检测病毒防范病毒防范备份恢复备份恢复系统层系统层管理层管
4、理层应用层应用层身份识别身份识别证书使用证书使用数据签名数据签名信息加密信息加密权限控制权限控制管理规定管理规定安全条例安全条例操作规范操作规范安全审计安全审计监测预警监测预警网银安全手段是全方位、多层次的。从系统层、应用层、管理层保障。网银安全手段是全方位、多层次的。从系统层、应用层、管理层保障。系统层防护系统层防护 应用层防护应用层防护网银安全建设的设计原则网银安全建设的设计原则 安全与方便相对性平衡点风险承受度 强化薄弱环节应用安全内部管理用户认证手段(一)用户认证手段(一)客户号/卡号/账号+密码简便易用用户认证手段(二)用户认证手段(二)双因素认证 -用户密码+动态密码 实现手段丰富 硬件Token 软件OTP 短信OTP 口令卡等用户认证手段(三)用户认证手段(三)数字证书 硬件Token IC卡 软存储 使用方式 客户端认证 数字签名应用安全组件应用安全组件安全产品安全产品监控、预警及管理监控、预警及管理 监控、预警及管理监控、预警及管理 基于分布事件模型基于分布事件模型 应用系统与监控系统分离应用系统与监控系统分离 管理界面管理界面 Web界面界面 终端终端
